Az egyesült államokbeli banki és tőkepiacok legfontosabb megfelelőségi és biztonsági szempontjai

  • Cikk

Bevezetés

A pénzügyi szolgáltató intézmények szinte minden kereskedelmi vállalkozást felülmúlnak a szigorú biztonsági, megfelelőségi és irányítási ellenőrzések iránti igényüknél. Az adatok, identitások, eszközök és alkalmazások védelme nem csak üzleti szempontból kritikus fontosságú, hanem olyan szabályozó szervek megfelelőségi követelményei és irányelvei is vonatkoznak rá, mint az Egyesült Államok Értékpapír- és Tőzsdebizottsága (SEC), a Pénzügyi iparág szabályozó hatósága (FINRA), a Federal Financial Institutions Examination Council (FFIEC) és a Commodity Futures Trading Commission (CFTC). Ezenkívül a pénzügyi intézményekre olyan törvények vonatkoznak, mint a Dodd-Frank és a Sarbanes-Oxley 2002.

A fokozott biztonság, a belső kockázatok miatti aggodalmak és a nyilvános adatszivárgások mai légkörében az ügyfelek magas szintű biztonságot követelnek a pénzügyi intézményektől annak érdekében, hogy személyes adataikkal és banki eszközeikkel megbízzanak bennük.

Az átfogó ellenőrzések szükségessége korábban közvetlenül érintette és korlátozta a pénzügyi intézmények által a belső és külső együttműködés lehetővé tétele érdekében használt informatikai rendszereket és platformokat. Napjainkban a pénzügyi szolgáltatások alkalmazottainak egy könnyen alkalmazható és könnyen használható modern együttműködési platformra van szükségük. A pénzügyi szolgáltatások azonban nem tudnak rugalmasan együttműködni a felhasználók, csapatok és részlegek között olyan biztonsági és megfelelőségi vezérlőkkel, amelyek szabályzatokat kényszerítenek ki a felhasználók és az informatikai rendszerek fenyegetésekkel szembeni védelmére.

A pénzügyi szolgáltatási ágazatban körültekintően kell eljárni az együttműködési eszközök és biztonsági vezérlők konfigurálásához és üzembe helyezéséhez, beleértve a következőket:

  • A szervezeti együttműködés és az üzleti folyamatok gyakori forgatókönyveinek kockázatértékelése
  • Az információvédelemre és az adatkezelésre vonatkozó követelmények
  • Kiberbiztonság és belső fenyegetések
  • Jogszabályi megfelelőségi követelmények
  • Egyéb működési kockázatok

A Microsoft 365 egy modern munkahelyi felhőkörnyezet, amely képes kezelni a pénzügyi szolgáltatásokat használó szervezetek napjaink kihívásait. A vállalaton belüli biztonságos és rugalmas együttműködést vezérlőkkel és szabályzatkényszerítéssel kombinálják, hogy megfeleljenek a szigorú jogszabályi megfelelőségi keretrendszereknek. Ez a cikk azt ismerteti, hogy a Microsoft 365 platform hogyan segíti a pénzügyi szolgáltatásokat a modern együttműködési platformra való áttérésben, miközben segít az adatok és rendszerek biztonságának megőrzésében és az előírásoknak való megfelelésben:

  • Szervezeti és alkalmazotti hatékonyság engedélyezése a Microsoft 365 és a Microsoft Teams használatával
  • A modern együttműködés védelme a Microsoft 365 használatával
  • Bizalmas adatok azonosítása és adatvesztés megelőzése
  • Az erőd védelme
  • Az adatok szabályozása és a szabályozásoknak való megfelelés a rekordok hatékony kezelésével
  • Etikus falak kialakítása információs akadályokkal
  • Védelem az adatkiszivárgás és a belső kockázatok ellen

Microsoft-partnerként a Protiviti hozzájárult a cikkhez, és jelentős visszajelzéseket adott.

A következő letölthető ábrák kiegészítik ezt a cikket. A Woodgrove Bank és a Contoso segítségével bemutatjuk, hogyan alkalmazhatók az ebben a cikkben ismertetett képességek a pénzügyi szolgáltatások közös szabályozási követelményeire. Ezeket az ábrákat nyugodtan saját használatra igazíthatja.

A Microsoft 365 információvédelmi és megfelelőségi illusztrációi

Elem Leírás
Modellplakett: A Microsoft 365 információvédelmi és megfelelőségi képességei.
Angol: Letöltés PDF-ként | Letöltés Visio-ként
Japán: Letöltés PDF-fájlként | Letöltés Visio-ként
Frissítve: 2020. november		 Tartalmazza:
  • Microsoft Purview információvédelem és Microsoft Purview adatveszteség-megelőzés
  • Adatmegőrzési szabályzatok és adatmegőrzési címkék
  • Szervezeten belüli elkülönítés
  • Kommunikációmegfelelőség
  • Belső kockázat
  • Külső adatbetöltés

A szervezeti és alkalmazotti hatékonyság növelése a Microsoft 365 és a Teams használatával

Az együttműködéshez általában különböző kommunikációs formákra, dokumentumok/adatok tárolására és elérésére, valamint más alkalmazások szükség szerinti integrálására van szükség. A pénzügyi szolgáltatásokban dolgozó alkalmazottaknak általában más részlegek vagy csapatok tagjaival, néha külső entitásokkal kell együttműködnie és kommunikálniuk. Ezért nem kívánatos a silókat létrehozó vagy az információmegosztást megnehezítő rendszerek használata. Ehelyett célszerű olyan platformokat és alkalmazásokat használni, amelyek lehetővé teszik az alkalmazottak számára, hogy biztonságosan és a vállalati szabályzatnak megfelelően kommunikáljanak, működjenek együtt és oszthassák meg az információkat.

A modern, felhőalapú együttműködési platform lehetővé teszi az alkalmazottak számára, hogy olyan eszközöket válasszanak és integráljanak, amelyek hatékonyabbá teszik őket, és lehetővé teszik számukra, hogy rugalmas munkamódszereket találjanak. A Teams és a szervezetet védő biztonsági vezérlők és információirányítási szabályzatok együttes használata segíthet a munkatársak hatékony kommunikációjában és együttműködésében.

A Teams együttműködési központot biztosít a szervezet számára. Segít összehozni az embereket, hogy hatékonyan dolgozzanak a közös kezdeményezéseken és projekteken. A Teams lehetővé teszi, hogy a csapattagok 1:1-ás és többrészes csevegéseket folytassanak, közösen dolgozzanak együtt és társszerzők dokumentumokat, valamint fájlokat tároljanak és osszanak meg. A Teams integrált vállalati hang- és videóalapú online értekezleteket is lehetővé tesz. A Teams olyan Microsoft-alkalmazásokkal is testre szabható, mint a Microsoft Planner, a Microsoft Dynamics 365, a Power Apps, a Power BI és a külső gyártótól származó üzletági alkalmazások. A Teamst mind a belső csapattagok, mind az engedélyezett külső felhasználók számára tervezték, akik csatlakozhatnak a csoportcsatornákhoz, részt vehetnek csevegésekben, hozzáférhetnek a tárolt fájlokhoz, és más alkalmazásokat használhatnak

Minden Microsoft-csapat egy Microsoft 365-csoporttal rendelkezik. Ezt a csoportot számos Office 365 szolgáltatás, köztük a Teams tagsági szolgáltatásának tekintik. A Microsoft 365-csoportok segítségével biztonságosan megkülönböztethetők a "tulajdonosok" és a "tagok", valamint szabályozható a Teams különböző képességeihez való hozzáférés. A megfelelő szabályozási vezérlőkkel és a rendszeresen felügyelt hozzáférési felülvizsgálatokkal együtt a Teams csak a tagok és tulajdonosok számára teszi lehetővé az engedélyezett csatornák és képességek használatát.

Gyakori forgatókönyv, amikor a Teams pénzügyi szolgáltatásokat élvez, ha belső projekteket vagy programokat futtat. Számos pénzügyi intézménynek, köztük bankoknak, vagyonkezelő cégeknek, hitelszövetkezeteknek és biztosítóknak például pénzmosás elleni és egyéb megfelelőségi programokkal kell rendelkezniük. Az informatikai részlegből, az üzletágakból, például a kiskereskedelemből és a vagyonkezelésből, valamint egy pénzügyi bűnözési egységből álló, többfunkciós csapatra lehet szükség, hogy adatokat osszanak meg egymással, és kommunikáljanak a programról vagy a konkrét vizsgálatokról. Ezek a programok hagyományosan megosztott hálózati meghajtókat használtak, de ez a megközelítés számos kihívást jelenthet, például:

  • Egyszerre csak egy személy szerkesztheti a dokumentumokat.
  • A biztonság kezelése időigényes feladat, mivel az egyének hozzáadása/eltávolítása általában az informatikát is magában foglalja.
  • Az adatok a szükségesnél sokkal hosszabb ideig maradnak a megosztott hálózati meghajtókon.

A Teams együttműködési teret biztosíthat a bizalmas ügyféladatok biztonságos tárolásához és a csoporttagok közötti beszélgetésekhez, ahol bizalmas témákról lehet szó. A csapat több tagja egyszerre szerkeszthet vagy működhet együtt egyetlen dokumentumon. A program tulajdonosa vagy koordinátora konfigurálható csoporttulajdonosként, majd szükség szerint hozzáadhat és eltávolíthat tagokat.

Egy másik gyakori forgatókönyv a Teams használata "virtuális adattérként" a biztonságos együttműködéshez, beleértve a dokumentumok tárolását és kezelését. A csapattagok és a befektetési banki, eszközkezelési vagy magántőke-vállalatokon belüli szindikátumok biztonságosan működhetnek együtt egy ügyleten vagy befektetésen. A keresztfunkcionális csapatok gyakran vesznek részt az ilyen ügyletek tervezésében és teljesítésében, és az adatok biztonságos megosztásának és a beszélgetések lebonyolításának képessége alapvető követelmény. A kapcsolódó dokumentumok külső befektetőkkel való biztonságos megosztása szintén kulcsfontosságú követelmény. A Teams biztonságos és teljes körűen naplózható helyet biztosít a befektetési adatok központi tárolásához, védelméhez és megosztásához.

Egy értekezleten dolgozó irodai dolgozók egy csoportja egy nagy firka képeit tárgyalja.

Teams: Az együttműködés javítása és a megfelelőségi kockázatok csökkentése

A Microsoft 365 a Microsoft 365-csoportok mögöttes tagsági szolgáltatásként való használatával más általános szabályzati képességeket is biztosít a Teams számára. Ezek a szabályzatok segíthetnek az együttműködés javításában és a megfelelőségi igények kielégítésében.

A Microsoft 365 csoportelnevezési szabályzatai segítenek biztosítani, hogy a Microsoft 365-csoportok, és így a csapatok neve a vállalati szabályzatnak megfelelően történjen. A nevek problémásak lehetnek, ha nem megfelelőek. Előfordulhat például, hogy az alkalmazottak nem tudják, hogy mely csapatokkal kell dolgozniuk, vagy nem oszthatnak meg információkat, ha a nevek nincsenek megfelelően alkalmazva. A csoportelnevezési házirendek (beleértve az előtag-/utótag-alapú házirendek és az egyéni tiltott szavak támogatását) kényszeríthetik a megfelelő "higiéniát", és megakadályozhatják bizonyos szavak használatát, például a fenntartott szavakat vagy a nem megfelelő terminológiát.

A Microsoft 365-csoportlejárati szabályzatok segítenek biztosítani, hogy a Microsoft 365-csoportok és így a csapatok ne legyenek hosszabb ideig megőrizve, mint a szervezet igényei vagy igényei. Ez a képesség segít megelőzni két fontos adatkezelési problémát:

  • A nem szükséges vagy használt csapatok elterjedése.
  • A szervezet által már nem szükséges vagy használt adatok túlzott megőrzése (kivéve a jogi célú visszatartást/megőrzést).

A rendszergazdák megadhatnak lejárati időt a Microsoft 365-csoportokhoz, például 90, 180 vagy 365 nap. Ha egy Microsoft 365-csoport által támogatott szolgáltatás inaktív a lejárati idő alatt, a csoporttulajdonosok értesítést kapnak. Ha nem történik művelet, a Microsoft 365-csoport és annak összes kapcsolódó szolgáltatása, beleértve a Teamst is, törlődik.

A Teamsben és más csoportalapú szolgáltatásokban tárolt adatok túlzott megőrzése kockázatot jelenthet a pénzügyi szolgáltatási szervezetek számára. A Microsoft 365-csoportlejárati szabályzatok ajánlott módja annak, hogy megakadályozzák a már nem szükséges adatok megőrzését. A Beépített adatmegőrzési címkékkel és szabályzatokkal együtt a Microsoft 365 segít biztosítani, hogy a szervezetek csak a vállalati szabályzatok és jogszabályi megfelelőségi kötelezettségek teljesítéséhez szükséges adatokat őrizze meg.

Teams: Az egyéni követelmények egyszerű integrálása

A Teams alapértelmezés szerint lehetővé teszi a csapatok önkiszolgáló létrehozását. Azonban számos szabályozott szervezet szeretné szabályozni és megérteni, hogy az alkalmazottak jelenleg mely együttműködési csatornákat használják, mely csatornák tartalmazhatnak bizalmas adatokat, valamint a szervezeti csatornák tulajdonjogát. A szabályozási vezérlők megkönnyítése érdekében a Microsoft 365 lehetővé teszi, hogy a szervezet letiltsa az önkiszolgáló csapatok létrehozását. Az olyan üzletifolyamat-automatizálási eszközökkel, mint a Microsoft Power Apps és a Power Automate, a szervezetek egyszerű űrlapokat és jóváhagyási folyamatokat hozhatnak létre és helyezhetnek üzembe az alkalmazottak számára egy új csapat létrehozásának igényléséhez. Jóváhagyás után a csapat automatikusan kiépülhet, és egy hivatkozást küldhet a kérelmezőnek. Így a szervezetek megtervezhetik és integrálhatják megfelelőségi vezérlőiket és egyéni követelményeiket a csapatlétrehozás folyamatába.

Elfogadható digitális kommunikációs csatornák

A FINRA hangsúlyozza, hogy a szabályozott cégek digitális kommunikációja megfelel az Exchange Act 17a-3 és 17a-4 szabályainak, valamint a FINRA 4510-nek. A FINRA éves jelentést ad ki, amely kulcsfontosságú megállapításokat, megfigyeléseket és hatékony eljárásokat tartalmaz, amelyek segítenek a szervezeteknek a megfelelőség és a kockázatkezelés javításában. A FINRA a vizsgálati eredményekről és megfigyelésekről szóló 2019- évi jelentésében kulcsfontosságú területként azonosította a digitális kommunikációt, ahol a cégek a felügyeleti és nyilvántartási követelményeknek való megfeleléssel kapcsolatos kihívásokkal szembesülnek.

Ha egy szervezet lehetővé teszi alkalmazottai számára egy adott alkalmazás, például egy alkalmazásalapú üzenetkezelési szolgáltatás vagy együttműködési platform használatát, a cégnek archiválnia kell az üzleti rekordokat, és felügyelnie kell ezen alkalmazottak tevékenységeit és kommunikációját az alkalmazásban. A szervezetek felelőssége, hogy kellő gondossággal betartsák a FINRA-szabályokat és az értékpapírokra vonatkozó jogszabályokat, és nyomon követik az ilyen alkalmazások alkalmazottak általi használatával kapcsolatos szabályok esetleges megsértését.

A FINRA által ajánlott hatékony eljárások a következők:

  • Átfogó szabályozási program létrehozása a digitális kommunikációs csatornákhoz. Kezelheti a szervezet döntését arról, hogy mely digitális kommunikációs csatornák engedélyezettek, és megfelelőségi folyamatokat határozhat meg az egyes digitális csatornákhoz. Szorosan figyelemmel kísérheti a digitális kommunikációs csatornák gyorsan változó környezetét, és naprakészen tarthatja a megfelelőségi folyamatokat.
  • A megengedett digitális csatornák egyértelmű meghatározása és szabályozása. Definiálja a jóváhagyott és a tiltott digitális csatornákat is. Tiltsa le vagy korlátozza a tiltott digitális csatornák, illetve a digitális csatornákon belüli tiltott funkciók használatát, amelyek korlátozzák a szervezet azon képességét, hogy megfeleljen a rekordkezelési és felügyeleti követelményeknek.
  • Képzés biztosítása a digitális kommunikációhoz. Implementálja a kötelező képzési programokat, mielőtt hozzáférést ad a regisztrált képviselőknek a jóváhagyott digitális csatornákhoz. A képzés segít tisztázni a szervezet üzleti és személyes digitális kommunikációval kapcsolatos elvárásait, és az egyes csatornák engedélyezett funkcióinak megfelelő használatán vezeti végig a munkatársakat.

A FINRA Digital Communicationsre vonatkozó megállapításai és megfigyelései közvetlenül kapcsolódnak ahhoz, hogy a szervezet képes megfelelni a SEC 17a-4 szabályának az összes üzleti kommunikáció megőrzésére, a 3110-es és 3120-es FINRA-szabályokra a kommunikáció felügyeletére és felülvizsgálatára, valamint a 4510 - es szabálysorozatnak a nyilvántartásra. Az Árutőzsdei Határidős Kereskedelmi Bizottság (CFTC) hasonló követelményeket hirdet ki a 17 CFR 131 szerint. Ezeket a szabályozásokat a cikk későbbi részében tárgyaljuk részletesen.

A Teams a Microsoft 365 biztonsági és megfelelőségi ajánlatainak átfogó csomagjával együtt vállalati digitális kommunikációs csatornát biztosít a pénzügyi intézmények számára az üzleti tevékenység hatékony végzéséhez és a szabályozásoknak való megfeleléshez. A cikk hátralévő része azt ismerteti, hogy a Microsoft 365 rekordkezelési, információvédelmi, információs akadályokkal és felügyeleti ellenőrzéssel kapcsolatos beépített képességeivel a Teams hatékony eszközkészletet biztosít ezeknek a szabályozási kötelezettségeknek a teljesítéséhez.

Modern együttműködés védelme a Microsoft 365-ben

A felhasználói identitások védelme és a hozzáférés szabályozása

Az ügyféladatokhoz, pénzügyi dokumentumokhoz és alkalmazásokhoz való hozzáférés védelme a felhasználói identitások szigorú védelmével kezdődik. Ehhez biztonságos platformra van szükség a vállalat számára az identitások tárolásához és kezeléséhez, megbízható hitelesítési eszközök biztosításához és az alkalmazásokhoz való hozzáférés dinamikus szabályozásához.

Amikor az alkalmazottak dolgoznak, alkalmazásról alkalmazásra vagy több hely és eszköz között mozoghatnak. Az adatokhoz való hozzáférést minden lépésnél hitelesíteni kell. A hitelesítési folyamatnak támogatnia kell egy erős protokollt és több hitelesítési tényezőt (például egyszeri SMS-hozzáférési kódot, hitelesítő alkalmazást és tanúsítványt), hogy az identitások ne sérüljenek. A kockázatalapú hozzáférési szabályzatok betartatása kritikus fontosságú a pénzügyi adatok és alkalmazások belső fenyegetésekkel, véletlen adatszivárgással és adatkiszivárgással szembeni védelméhez.

A Microsoft 365 biztonságos identitásplatformot biztosít Microsoft Entra ID, ahol az identitások központilag vannak tárolva és biztonságosan felügyelve. Microsoft Entra ID, valamint számos kapcsolódó Microsoft 365 biztonsági szolgáltatás biztosítja az alkalmazottak számára a biztonságos munkavégzéshez szükséges hozzáférést, miközben a szervezetet is védi a fenyegetésektől.

Microsoft Entra többtényezős hitelesítés (MFA) be van építve a platformba, és további hitelesítési igazolást biztosít a felhasználói identitás megerősítéséhez, amikor bizalmas pénzügyi adatokhoz és alkalmazásokhoz férnek hozzá. Az Azure MFA legalább két hitelesítési formát igényel, például egy jelszót és egy ismert mobileszközt. Számos másodikfaktoros hitelesítési lehetőséget támogat, többek között a következőket:

  • A Microsoft Authenticator alkalmazás
  • SMS-ben kézbesített egyszeri PIN-kód
  • Telefonhívás, ahol a felhasználónak PIN-kódot kell megadnia

Ha valamilyen módon feltörik a jelszót, a potenciális támadóknak továbbra is szükségük lenne a felhasználó telefonjára a szervezeti adatokhoz való hozzáféréshez. Emellett a Microsoft 365 a modern hitelesítést használja kulcsprotokollként, amely ugyanazt az erős és gazdag hitelesítési élményt nyújtja a webböngészőktől az alkalmazottak által naponta használt együttműködési eszközökig, beleértve a Microsoft Outlookot és a többi Microsoft Office-alkalmazást is.

Jelszó nélküli

A jelszavak a biztonsági lánc leggyengébb hivatkozásai. Egyetlen meghibásodási pont lehet, ha nincs további ellenőrzés. A Microsoft számos hitelesítési lehetőséget támogat a pénzügyi intézmények igényeinek megfelelően.

A jelszó nélküli módszerek megkönnyítik az MFA használatát a felhasználók számára. Bár nem minden MFA jelszó nélküli, a jelszó nélküli technológiák többtényezős hitelesítést alkalmaznak. A Microsoft, a Google és más iparági vezetők olyan szabványokat fejlesztettek ki, amelyek lehetővé teszik az egyszerűbb és erősebb hitelesítést a webes és mobileszközökön a Fast IDentity Online (FIDO) nevű csoportban. A nemrég kifejlesztett FIDO2 szabvány lehetővé teszi, hogy a felhasználók egyszerűen és biztonságosan hitelesítsék magukat anélkül, hogy jelszóra van szükségük az adathalászat kiküszöböléséhez.

A jelszó nélküli Microsoft MFA-metódusok a következők:

  • Microsoft Authenticator: A rugalmasság, a kényelem és a költségek érdekében a Microsoft Authenticator mobilalkalmazás használatát javasoljuk. A Microsoft Authenticator támogatja a biometrikus adatokat, a leküldéses értesítéseket és az egyszeri pin-kódokat minden Microsoft Entra csatlakoztatott alkalmazáshoz. Az Apple és az Android alkalmazásáruházakban érhető el.
  • Windows Hello: A pc-n a beépített felhasználói élmény érdekében a Windows Hello használatát javasoljuk. Biometrikus adatokat (például arcot vagy ujjlenyomatot) használ az automatikus bejelentkezéshez.
  • A FIDO2 biztonsági kulcsok mostantól több Microsoft-partnertől is elérhetők: Yubico, Feitian Technologies és HID Global USB, NFC-kompatibilis jelvény vagy biometrikus kulcs használatával.

Microsoft Entra feltételes hozzáférés robusztus megoldást kínál a hozzáférés-vezérlési döntések automatizálására és a vállalati eszközök védelmére vonatkozó szervezeti szabályzatok kikényszerítésére. A klasszikus példa az, amikor egy pénzügyi tervező bizalmas ügyféladatokkal rendelkező alkalmazáshoz szeretne hozzáférni. Az alkalmazáshoz való hozzáféréshez automatikusan többtényezős hitelesítésre van szükség, és a hozzáférésnek vállalati felügyeletű eszközről kell lennie. Az Azure Feltételes hozzáférés a felhasználó hozzáférési kérelmére vonatkozó jeleket egyesíti, például a felhasználóra, az eszközre, a helyre és a hálózatra vonatkozó tulajdonságokat, valamint a felhasználó által elérni kívánt alkalmazást. Dinamikusan értékeli az alkalmazáshoz való hozzáférésre tett kísérleteket a konfigurált szabályzatok alapján. Ha a felhasználói vagy eszközkockázat megemelkedett, vagy más feltételek nem teljesülnek, Microsoft Entra ID automatikusan kikényszerítheti a szabályzatokat, például az MFA megkövetelését, a biztonságos jelszó-visszaállítás megkövetelését vagy a hozzáférés korlátozását vagy letiltását. Ez segít biztosítani, hogy a bizalmas szervezeti objektumok dinamikusan változó környezetekben legyenek védve.

Microsoft Entra ID és a kapcsolódó Microsoft 365 biztonsági szolgáltatások biztosítják a modern felhőbeli együttműködési platform bevezetésének alapját a pénzügyi intézmények számára, így biztosítva az adatokhoz és alkalmazásokhoz való hozzáférést, valamint a szabályozók megfelelőségi kötelezettségeinek teljesítését. Ezek az eszközök a következő fő képességeket biztosítják:

  • A felhasználói identitások központi tárolása és biztonságos kezelése.
  • Használjon erős hitelesítési protokollt, beleértve a többtényezős hitelesítést is, hogy hitelesítse a felhasználókat a hozzáférési kérelmekben, és egységes és robusztus hitelesítési élményt nyújtson az összes alkalmazásban.
  • Dinamikusan érvényesítheti a szabályzatokat az összes hozzáférési kérésen, és több jelet is beépít a szabályzat döntéshozatali folyamatába, beleértve az identitást, a felhasználói/csoporttagságot, az alkalmazást, az eszközt, a hálózatot, a helyet és a valós idejű kockázati pontszámot.
  • Ellenőrizze a részletes szabályzatokat a felhasználói viselkedés és a fájltulajdonságok alapján, és szükség esetén dinamikusan kényszerítse ki a további biztonsági intézkedéseket.
  • Azonosítsa az "árnyék-it" kifejezést a szervezetben, és engedélyezze az InfoSec-csapatok számára a felhőalkalmazások engedélyezését vagy letiltását.
  • A Microsoft- és nem Microsoft-felhőalkalmazásokhoz való hozzáférés monitorozása és szabályozása.
  • Proaktív védelem az e-mailek adathalászata és zsarolóprogram-támadások ellen.

Microsoft Entra ID-védelem

Bár a feltételes hozzáférés védi az erőforrásokat a gyanús kérésekkel szemben, az Identity Protection tovább halad a gyanús felhasználói fiókok folyamatos kockázatészlelésével és szervizelésével. Az Identity Protection folyamatosan tájékoztatja a gyanús felhasználókról és a bejelentkezési viselkedésről a környezetben. Automatikus válasza proaktívan megakadályozza a feltört identitások visszaélését.

Az Identity Protection egy olyan eszköz, amellyel a szervezetek három fő feladatot végezhetnek el:

  • Automatizálhatja az identitásalapú kockázatok észlelését és orvoslását.
  • Kockázatok vizsgálata adatok használatával a portálon.
  • Kockázatészlelési adatok exportálása külső segédeszközökre további elemzés céljából.

Az Identity Protection olyan ismereteket használ, amelyeket a Microsoft a Microsoft Entra ID rendelkező szervezetekben, a Microsoft-fiókok felhasználói területén és az Xbox játékaiban szerzett a felhasználók védelme érdekében. A Microsoft naponta 65 billió jelet elemez, hogy azonosítsa és megvédje az ügyfeleket a fenyegetésektől. Az Identity Protection által generált és az Identity Protectionbe táplált jeleket tovább lehet táplálni olyan eszközökbe, mint a feltételes hozzáférés a hozzáférési döntések meghozatalához. Egy biztonsági információ- és eseménykezelő (SIEM) eszközbe is visszatáplálhatók a szervezet által kikényszerített szabályzatok alapján történő további vizsgálat céljából.

Az Identity Protection a heurisztika, a felhasználó- és entitásviselkedés-elemzések (UEBA) és a gépi tanulás (ML) fejlett detektálásán alapuló felhőalapú intelligencia előnyeit kihasználva segít a szervezeteknek az identitások sérülése elleni automatikus védelemben.

Öt infomunkás watch egy másik bemutatót tart.

Bizalmas adatok azonosítása és adatvesztés megelőzése

A Microsoft 365 lehetővé teszi, hogy minden szervezet azonosítsa a szervezeten belüli bizalmas adatokat a hatékony képességek, többek között a következők kombinációjával:

  • Microsoft Purview információvédelem a bizalmas adatok felhasználóalapú besorolásához és automatikus besorolásához is.
  • Microsoft Purview adatveszteség-megelőzés (DLP) bizalmas adatok bizalmas adattípusokkal (más szóval reguláris kifejezésekkel) és kulcsszavakkal és szabályzatkényszerítéssel történő automatikus azonosításához.

Microsoft Purview információvédelem lehetővé teszi a szervezetek számára a dokumentumok és e-mailek intelligens besorolását bizalmassági címkék használatával. A bizalmassági címkéket a felhasználók manuálisan alkalmazhatják a Microsoft Office-alkalmazások dokumentumaira és az Outlookban lévő e-mailekre. A címkék automatikusan alkalmazhatják a dokumentumjelöléseket, a titkosítással történő védelmet és a tartalomvédelmi kényszerítéseket. A bizalmassági címkék automatikusan is alkalmazhatók kulcsszavakat és bizalmas adattípusokat (például hitelkártyaszámokat, társadalombiztosítási számokat és személyazonosító számokat) használó szabályzatok konfigurálásával a bizalmas adatok automatikus megkereséséhez és besorolásához.

Emellett a Microsoft olyan "betanítható osztályozókat" is biztosít, amelyek gépi tanulási modelleket használnak a bizalmas adatok tartalomon alapuló azonosítására, nem pedig egyszerűen mintaegyeztetéssel vagy a tartalom elemeivel. Az osztályozó megtanulja, hogyan azonosíthat egy tartalomtípust a besorolandó tartalom számos példájának megtekintésével. Az osztályozó betanítása azzal kezdődik, hogy példákat ad neki egy adott kategóriában lévő tartalomra. Miután elsajátította ezeket a példákat, a modell tesztelése egyező és nem egyező példák kombinációjával történik. Az osztályozó előre jelzi, hogy egy adott példa a kategóriába tartozik-e. Egy személy ezután megerősíti az eredményeket, rendezi a pozitívokat, a negatívokat, a hamis pozitívokat és a hamis negatívokat, hogy növelje az osztályozó előrejelzéseinek pontosságát. A betanított osztályozó közzétételekor feldolgozza a tartalmat Microsoft Office SharePoint Online, Exchange Online és OneDrive Vállalati verzió, és automatikusan besorolja a tartalmat.

Ha bizalmassági címkéket alkalmaz a dokumentumokra és e-mailekre, olyan metaadatokat ágyaz be, amelyek azonosítják a választott bizalmassági adatokat az objektumon belül. A bizalmasság ezután az adatokkal együtt halad. Így még akkor is védett, ha egy címkézett dokumentum egy felhasználó asztalán vagy egy helyszíni rendszeren van tárolva. Ez a funkció lehetővé teszi más Microsoft 365-megoldások, például a Microsoft Defender for Cloud Apps vagy a hálózati peremhálózati eszközök számára a bizalmas adatok azonosítását és a biztonsági vezérlők automatikus kikényszerítését. A bizalmassági címkéknek további előnye, hogy megtanítják az alkalmazottaknak, hogy a szervezeten belül mely adatok minősülnek bizalmasnak, és hogyan kezelhetik ezeket az adatokat, amikor megkapják őket.

Microsoft Purview adatveszteség-megelőzés (DLP) a bizalmas adatokat tartalmazó dokumentumokat, e-maileket és beszélgetéseket automatikusan azonosítja azáltal, hogy bizalmas adatokat keres, majd házirendet kényszerít ki az objektumokon. A házirendek a SharePoint és a OneDrive Vállalati verzió dokumentumain vannak érvényben. A felhasználók e-mail küldésekor, valamint Teams-csevegésekben és csatornabeszélgetésekben is kikényszerülnek. A házirendek konfigurálhatók úgy, hogy kulcsszavakat, bizalmas adattípusokat, adatmegőrzési címkéket keressenek, és hogy az adatok meg legyenek-e osztva a szervezeten belül vagy külsőleg. A vezérlők segítenek a szervezeteknek a DLP-szabályzatok finomhangolásában a téves riasztások csökkentése érdekében. Amikor bizalmas adatokat talál, testre szabható házirendtippek jeleníthetők meg a Microsoft 365-alkalmazások felhasználói számára, hogy tájékoztassák őket arról, hogy a tartalmaik bizalmas adatokat tartalmaznak, majd korrekciós műveleteket javasolnak. A házirendek azt is megakadályozhatják, hogy a felhasználók hozzáférjenek a dokumentumokhoz, dokumentumokat osszanak meg, vagy bizonyos típusú bizalmas adatokat tartalmazó e-maileket küldjenek. A Microsoft 365 több mint 100 beépített bizalmas adattípust támogat. A szervezetek egyéni bizalmas adattípusokat konfigurálhatnak, hogy megfeleljenek a szabályzataiknak.

A Microsoft Purview információvédelem és DLP-szabályzatok szervezetek számára történő bevezetése gondos tervezést és felhasználói oktatási programot igényel, hogy az alkalmazottak megértsék a szervezet adatbesorolási sémáját, és hogy milyen típusú adatok minősülnek bizalmasnak. Az alkalmazottak olyan eszközökkel és oktatási programokkal való ellátása, amelyek segítenek a bizalmas adatok azonosításában és kezelésében, az információbiztonsági kockázatok mérséklésére szolgáló megoldás részévé teszik őket.

Az Identity Protection által generált és az Identity Protectionbe táplált jelek olyan eszközökbe is betáplálhatók, mint a feltételes hozzáférés a hozzáférési döntések meghozatalához, vagy egy biztonsági információ- és eseménykezelő (SIEM) eszköz, amely a szervezet kényszerített szabályzatai alapján vizsgálható.

Az Identity Protection a heurisztika, a felhasználó- és entitásviselkedés elemzése, valamint a Microsoft ökoszisztémájának gépi tanulása alapján fejlett észleléseken alapuló felhőalapú intelligencia előnyeinek kihasználásával segíti a szervezeteket az identitások biztonsága elleni automatikus védelemben.

Az információs feldolgozók a monitorok nagy tömbje előtt láthatóak.

Az erőd védelme

A Microsoft nemrég elindította a Microsoft Defender XDR megoldást, amelynek célja a modern szervezet védelme a folyamatosan változó veszélyforrásoktól. Az Intelligent Security Graph használatával a Veszélyforrások elleni védelem megoldás átfogó, integrált védelmet kínál több támadási vektor ellen.

Az intelligens biztonsági gráf

A Microsoft 365 biztonsági szolgáltatásait az Intelligent Security Graph működteti. A kibertámadások elleni küzdelem érdekében az Intelligent Security Graph fejlett elemzéseket használ a Microsoft és partnerei fenyegetésfelderítési és biztonsági jelzéseinek összekapcsolására. A Microsoft nagy léptékben működtet globális szolgáltatásokat, és több billió biztonsági jelet gyűjt, amelyek az energiavédelem rétegeit fedik le a veremben. A gépi tanulási modellek értékelik ezt az intelligenciát, és a jel- és fenyegetéselemzések széles körben meg vannak osztva a termékeink és szolgáltatásaink között. Ez lehetővé teszi, hogy gyorsan észleljük a fenyegetéseket, és reagáljunk rájuk, és a szervizeléshez használható riasztásokat és információkat nyújtsunk az ügyfeleknek. Gépi tanulási modelljeink folyamatosan betanulnak és új megállapításokkal frissülnek, így biztonságosabb termékeket hozhatunk létre, és proaktívabb biztonságot nyújthatunk.

Office 365-höz készült Microsoft Defender integrált Microsoft 365-szolgáltatást biztosít, amely megvédi a szervezeteket az e-mailben és Office-dokumentumokban továbbított rosszindulatú hivatkozásoktól és kártevőktől. Az egyik leggyakoribb támadási vektor, amely ma hatással van a felhasználókra, az e-mail adathalász támadások. Ezek a támadások adott felhasználókat célozhatnak meg, és nagyon meggyőzőek lehetnek, bizonyos műveletmeghívásokkal, amelyek arra kérik a felhasználót, hogy válasszon ki egy rosszindulatú hivatkozást, vagy nyisson meg egy kártevőt tartalmazó mellékletet. A számítógép megfertőzése után a támadó ellophatja a felhasználó hitelesítő adatait, és oldalirányban mozoghat a szervezeten belül, vagy kiszűrheti az e-maileket és az adatokat, hogy bizalmas adatokat keressen. Office 365-höz készült Defender támogatja a biztonságos mellékleteket és a biztonságos hivatkozásokat azáltal, hogy a dokumentumok és hivatkozások kattintásra történő kiértékelésével potenciálisan rosszindulatú szándékot keres, és letiltja a hozzáférést. Email mellékletek védett tesztkörnyezetben nyílnak meg, mielőtt a rendszer kézbesítené őket a felhasználó postaládájába. Emellett az Office-dokumentumokban található hivatkozásokat is kiértékeli a rosszindulatú URL-címekre vonatkozóan. Office 365-höz készült Defender a SharePoint Online, a OneDrive Vállalati verzió és a Teams hivatkozásait és fájljait is védi. Ha kártékony fájlt észlel, Office 365-höz készült Defender automatikusan zárolja a fájlt a lehetséges károk csökkentése érdekében.

Végponthoz készült Microsoft Defender egy egységes végpontbiztonsági platform a megelőző védelemhez, a incidens utáni észleléshez, valamint az automatizált vizsgálathoz és reagáláshoz. A Végponthoz készült Defender beépített képességeket biztosít a vállalati végpontokon lévő bizalmas adatok felderítéséhez és védelméhez.

Microsoft Defender for Cloud Apps lehetővé teszi a szervezetek számára a szabályzatok részletes szintű kikényszerítését, valamint a gépi tanulással automatikusan definiált egyéni felhasználói profilokon alapuló viselkedési anomáliák észlelését. A Defender for Cloud Apps-szabályzatok azure feltételes hozzáférési szabályzatokra építhetnek a bizalmas vállalati objektumok védelme érdekében a felhasználói viselkedéssel és a megnyitott dokumentumok tulajdonságaival kapcsolatos további jelek kiértékelésével. A Defender for Cloud Apps idővel megtanulja, hogy az egyes alkalmazottak milyen tipikus viselkedést tanúsítanak az általuk elért adatok és az általuk használt alkalmazások tekintetében. A megtanult viselkedési minták alapján a szabályzatok automatikusan érvényesíthetik a biztonsági vezérlőket, ha egy alkalmazott ezen a viselkedési profilon kívül jár el. Ha például egy alkalmazott általában hétfőtől péntekig 9:00 és 17:00 óra között fér hozzá egy könyvelési alkalmazáshoz, de vasárnap este hirtelen hirtelen erősen hozzá fog férni az alkalmazáshoz, a Defender for Cloud Apps dinamikusan kikényszerítheti a szabályzatokat, hogy megkövetelje a felhasználótól az újbóli hitelesítést. Ez segít biztosítani, hogy a felhasználó hitelesítő adatai ne sérüljenek. A Defender for Cloud Apps a szervezet "árnyék informatikai részlegének" azonosításában is segíthet, amely segít az információbiztonsági csapatoknak biztosítani, hogy az alkalmazottak engedélyezett eszközöket használjanak a bizalmas adatokkal végzett munka során. Végül a Defender for Cloud Apps a felhőben bárhol, a Microsoft 365 platformon kívül is képes megvédeni a bizalmas adatokat. Lehetővé teszi a szervezetek számára, hogy bizonyos külső felhőalkalmazásokat engedélyezhessenek (vagy visszavonjanak), ezáltal szabályozva a hozzáférést és a használatot.

Microsoft Defender for Identity egy felhőalapú biztonsági megoldás, amely a helyi Active Directory jeleket használja a szervezetre irányuló speciális fenyegetések, feltört identitások és rosszindulatú belső műveletek azonosítására, észlelésére és kivizsgálására. Az AATP lehetővé teszi, hogy a SecOp-elemzők és biztonsági szakemberek fejlett támadásokat észleljenek a hibrid környezetekben a következő módon:

  • A felhasználók, entitások viselkedésének és tevékenységeinek figyelése tanulásalapú elemzések használatával.
  • Az Active Directoryban tárolt felhasználói identitások és hitelesítő adatok védelme.
  • Azonosíthatja és kivizsgálhatja a gyanús felhasználói tevékenységeket és a speciális támadásokat a leölési láncban.
  • Adjon egyértelmű incidensadatokat egy egyszerű idővonalon a gyors osztályozáshoz.

Az irodai dolgozók egy kis konferenciateremben találkoznak. Az egyik bemutatót tart.

Adatok szabályozása és rekordok kezelése

A pénzügyi intézményeknek nyilvántartásaikat és adataikat a vállalati adatmegőrzési ütemtervben meghatározott szabályozási, jogi és üzleti kötelezettségeiknek megfelelően kell megőrizniük. A SEC például 3–6 éves megőrzési időtartamot ír elő rekordtípus alapján, az első két évre azonnali elérhetőségsel. A szervezetek jogi és jogszabályi megfelelőségi kockázatokkal szembesülnek, ha az adatok nem őrződnek meg (túl korán kerülnek törlésre), és most olyan szabályozásokat is kezelnek, amelyek az adatok már nem szükségesek. A hatékony rekordkezelési stratégiák gyakorlati és konzisztens megközelítést hangsúlyoznak, hogy az információk megfelelő módon legyenek megsemmisítve, miközben minimalizálják a szervezet költségeit és kockázatait.

Emellett a New York-i Pénzügyminisztérium szabályozási megbízásai megkövetelik, hogy az érintett szervezetek fenntartsák a nem közzétételi információk megsemmisítésére vonatkozó szabályzatokat és eljárásokat. 23 NYCRR 500, Section 500.13, Limitations on Data Retention requires, hogy "A kiberbiztonsági program részeként minden érintett entitásnak olyan szabályzatokat és eljárásokat kell tartalmaznia, amelyek a jelen rész 500.01.01. kivéve, ha az ilyen adatokat egyébként jogszabály vagy rendelet kötelezi."

A pénzügyi intézmények hatalmas mennyiségű adatot kezelnek. Egyes megőrzési időtartamokat események váltanak ki, például lejáró szerződés vagy a szervezetből kilépő alkalmazott. Ebben a légkörben nehéz lehet rekordmegőrzési szabályzatokat alkalmazni. A rekordmegőrzési időtartamok szervezeti dokumentumok közötti pontos hozzárendelésének módjai eltérőek lehetnek. Egyes adatmegőrzési szabályzatok széles körben alkalmazhatók, vagy automatikus besorolási és gépi tanulási technikákat használnak. Mások olyan megközelítést azonosítanak, amely részletesebb folyamatot igényel, amely egyedileg rendeli hozzá a megőrzési időtartamokat az egyes dokumentumokhoz.

A Microsoft 365 rugalmas képességeket biztosít a megőrzési címkék és szabályzatok meghatározásához a rekordkezelési követelmények intelligens implementálásához. A rekordkezelő egy adatmegőrzési címkét határoz meg, amely egy hagyományos adatmegőrzési ütemezésben egy "rekordtípust" jelöl. Az adatmegőrzési címke az alábbi adatokat definiáló beállításokat tartalmazza:

  • Egy rekord megőrzésének hossza
  • Mi történik, ha a megőrzési időszak lejár (törölje a dokumentumot, indítson el egy törlési felülvizsgálatot, vagy ne tegyen semmilyen műveletet)
  • Mi váltja ki a megőrzési időtartam kezdetét (létrehozási dátum, utolsó módosítás dátuma, címkézett dátum vagy esemény), és rekordként jelöli meg a dokumentumot vagy az e-mailt (ami azt jelenti, hogy nem szerkeszthető vagy törölhető)

Az adatmegőrzési címkék ezután közzé lesznek téve SharePoint- vagy OneDrive-webhelyeken, Exchange-postaládákban és Microsoft 365-csoportokban. A felhasználók manuálisan alkalmazhatják az adatmegőrzési címkéket a dokumentumokra és e-mailekre. A rekordkezelők intelligenciával automatikusan alkalmazhatják a címkéket. Az intelligens képességek kilencven plusz beépített bizalmasadat-típuson alapulhatnak (például ABA outing number, US bankszámlaszám vagy US Social Security Number). Emellett a dokumentumokban vagy e-mailekben talált kulcsszavak vagy bizalmas adatok, például hitelkártyaszámok vagy más személyazonosításra alkalmas adatok vagy SharePoint-metaadatok alapján is testre szabhatók. A manuális vagy automatizált mintaegyeztetéssel nem könnyen azonosítható adatok esetében a betanítható osztályozók a dokumentumok gépi tanulási technikákon alapuló intelligens besorolására használhatók.

Az Értékpapír- és Tőzsdebizottság (SEC) megköveteli, hogy a brókerkereskedők és más szabályozott pénzügyi intézmények megtartsák az üzletmenettel kapcsolatos összes kommunikációt. Ezek a követelmények számos típusú kommunikációra és adatra vonatkoznak, beleértve az e-maileket, dokumentumokat, csevegőüzeneteket, faxokat és egyebeket. A 17a-4 sec szabály határozza meg azokat a feltételeket, amelyeknek ezeknek a szervezeteknek meg kell felelniük ahhoz, hogy a rekordokat elektronikus adattároló rendszerben tárolják. 2003-ban a SEC kiadott egy kiadást, amely tisztázta ezeket a követelményeket. A következő feltételeket tartalmazta:

  • Az elektronikus tárolórendszer által megőrzött adatoknak nem írhatónak és nem törölhetőnek kell lenniük. Ezt WORM-követelménynek nevezzük (egyszer írjon, olvasson sokat).
  • Idézés vagy más jogrend esetén a tárolórendszernek képesnek kell lennie az adatok tárolására a szabály által előírt megőrzési időtartamon túl.
  • A szervezet nem sértené meg a szabály (f)(2)(ii)(A) bekezdésében foglaltakat, ha olyan elektronikus tárolórendszert használ, amely megakadályozza a rekordok felülírását, törlését vagy egyéb módosítását a szükséges megőrzési időszak alatt integrált hardver- és szoftvervezérlési kódok használatával.
  • Azok az elektronikus tárolórendszerek, amelyek csupán "mérsékelik" a rekord felülírásának vagy törlésének kockázatát, például hozzáférés-vezérlésre támaszkodva, nem felelnek meg a szabály követelményeinek.

Annak érdekében, hogy a pénzügyi intézmények megfeleljenek a 17a-4 SEC-szabály követelményeinek, a Microsoft 365 az adatok megőrzésével, a szabályzatok konfigurálásával és az adatok szolgáltatáson belüli tárolásával kapcsolatos képességek kombinációját biztosítja. Ezek közé tartoznak a következők:

  • Az adatok megőrzése (17a–4. cikk a), (b)(4)) – Az adatmegőrzési címkék és házirendek rugalmasak a szervezeti igényeknek megfelelően, és automatikusan vagy manuálisan alkalmazhatók a különböző típusú adatokra, dokumentumokra és információkra. Számos különféle adattípus és kommunikáció támogatott, beleértve a SharePointban és a OneDrive Vállalati verzió- és Exchange Online-postaládákban lévő adatokat, valamint a Teamsben tárolt adatokat.

  • Nem átírható, nem törölhető formátum (17a-4(f)(2)(ii)(A)) – Az adatmegőrzési házirendek megőrzési zárolási képessége lehetővé teszi, hogy a rekordkezelők és a rendszergazdák korlátozó módon konfigurálják az adatmegőrzési házirendeket, hogy azok többé ne módosíthatók legyenek. Ez megakadályozza, hogy bárki bármilyen módon eltávolítsa, letiltsa vagy módosítsa az adatmegőrzési szabályzatot. Ez azt jelenti, hogy a megőrzési zárolás engedélyezése után az nem tiltható le, és nincs olyan módszer, amellyel a megőrzési házirendet alkalmazó adatok felülírhatók, módosíthatók vagy törölhetők a megőrzési időszak alatt. Emellett a megőrzési időtartam nem rövidíthető le. A megőrzési időtartam azonban meghosszabbítható, ha jogi követelmény az adatok megőrzésének folytatása.

    Ha megőrzési zárolást alkalmaz egy adatmegőrzési szabályzatra, a következő műveletek lesznek korlátozva:

    • A szabályzat megőrzési időtartama csak növelhető. Nem lehet lerövidíteni.
    • A felhasználók hozzáadhatók a szabályzathoz, de a szabályzatban konfigurált meglévő felhasználók nem távolíthatók el.
    • Az adatmegőrzési szabályzatot a szervezet egyik rendszergazdája sem törölheti.

    A megőrzési zárolás segít biztosítani, hogy egyetlen felhasználó, még a legmagasabb szintű jogosultsági szintű hozzáféréssel rendelkező rendszergazdák se módosíthassák a beállításokat, módosíthassák, felülírhassák vagy törölhessék a tárolt adatokat, így az archiválás a Microsoft 365-ben a SEC 2003-as kiadásban megadott útmutatásnak megfelelően történik.

  • Az adatok tárolásának/szerializálásának és indexelésének minősége, pontossága és ellenőrzése (17a-4. cikk f)(2) bekezdésének (ii)(B) és (C)) pontja) – Office 365 számítási feladatok mindegyike olyan képességeket tartalmaz, amelyek lehetővé teszik az adatok tárolási adathordozón történő rögzítésére szolgáló folyamat minőségének és pontosságának automatikus ellenőrzését. Emellett a rendszer metaadatok és időbélyegek használatával tárolja az adatokat, hogy elegendő indexelést biztosítson az adatok hatékony kereséséhez és lekéréséhez.

  • Különálló tárterület duplikált példányokhoz (17a-4(f)(3(iii)) – A Office 365 felhőszolgáltatás magas rendelkezésre állásának alapvető elemeként tárolja az adatok duplikált másolatait. Ezt a redundancia a szolgáltatás minden szintjén megvalósítja, beleértve az összes kiszolgáló fizikai szintjén, az adatközpont kiszolgálói szintjén és a földrajzilag elosztott adatközpontok szolgáltatási szintjén.

  • Letölthető és hozzáférhető adatok (17a-4(f)(2)(ii)(D)) – Office 365 általában engedélyezi a megőrzésre címkézett adatok keresését, elérését és letöltését. Emellett lehetővé teszi, hogy az Exchange Online Archívumban lévő adatok a beépített feltárási funkciókkal kereshetők legyenek. Az adatok ezután szükség szerint letölthetők szabványos formátumokban, beleértve az EDRML-t és a PST-t.

  • Naplózási követelmények (17a-4(f)(3)(v)) – Office 365 naplózást biztosít minden olyan rendszergazdai és felhasználói művelethez, amely módosítja az adatobjektumokat, konfigurálja vagy módosítja az adatmegőrzési szabályzatokat, feltárási kereséseket végez, vagy módosítja a hozzáférési engedélyeket. Office 365 egy átfogó auditnaplót vezet, amely tartalmazza a műveletet végrehajtó kire, a végrehajtás időpontjára, a művelet részleteire és a végrehajtott parancsokra vonatkozó adatokat. Az auditnapló ezután kimenetként is használható, és szükség szerint belefoglalható a formális naplózási folyamatokba.

Végül a 17a-4. szabály megköveteli, hogy a szervezetek számos tranzakciótípus rekordjait tárolják, hogy két évig azonnal elérhetők legyenek. A rekordokat 3–6 évig, nem azonnali hozzáféréssel kell megőrizni. A duplikált rekordokat ugyanazon az időtartamon kívül is meg kell őrizni. A Microsoft 365 rekordkezelési képességei lehetővé teszik a rekordok megőrzését, így nem módosíthatók vagy törölhetők, de a rekordkezelő által szabályozott ideig könnyen elérhetők. Ezek az időszakok a szervezet jogszabályi megfelelőségi kötelezettségeitől függően napokra, hónapokra vagy évekre is kiterjedhetnek.

Kérésre a Microsoft egy igazolást küld a SEC 17a-4-nek való megfelelésről, ha azt egy szervezet megköveteli.

Ezenkívül ezek a képességek segítenek a Microsoft 365-nek megfelelni a CFTC 1.31(c)-(d) szabály tárolási követelményeinek az Amerikai Egyesült Államok Határidős Határidős Kereskedelmi Bizottságától és a PÉNZÜGYI IPARÁG szabályozó hatóságánakFINRA 4510-es szabálysorozatától. Ezek a szabályok együttesen globálisan a legleíróbb útmutatást jelentik a pénzügyi intézmények számára a rekordok megőrzéséhez.

A Office 365 – Cohasset Assessment – SEC Rule 17a-4(f) – A SharePoint, a OneDrive, az Exchange, a Teams és a Viva Engage (2022) nem módosítható tárterülete című dokumentum további részleteket tartalmaz arról, hogy a Microsoft 365 hogyan felel meg a SEC 17a-4-es szabályának és más szabályozásainak.

Etikus falak kialakítása információs akadályokkal

A pénzügyi intézményekre olyan szabályozások vonatkozhatnak, amelyek megakadályozzák, hogy bizonyos szerepkörökben dolgozó alkalmazottak információt cseréljenek vagy más szerepkörökkel működjenek együtt. A FINRA például közzétette a 2241(b)(2)(G), 2242(b)(2) (D), (b)(2)(H)(ii) és (b)(2)(H)(iii) szabályokat, amelyek megkövetelik a tagoktól, hogy:

"G) információs korlátokat vagy egyéb intézményi biztosítékokat kell létrehoznia, amelyeket ésszerűen úgy terveztek, hogy a kutatóelemzőket elszigeteljék a befektetési banki szolgáltatásokban részt vevő személyek vagy más személyek – ideértve az értékesítési és kereskedelmi személyzetet is – felülvizsgálatától, nyomásától vagy felügyeletétől, akik ítéletükben vagy felügyeletükben elfogultak lehetnek;" és "H) olyan információs akadályokat vagy egyéb intézményi biztosítékokat állapítson meg ésszerűen, amelyek célja annak biztosítása, hogy az adósságkutató elemzők el legyenek szigetelve a az alábbiakban részt vevő személyek általi felülvizsgálat, nyomás vagy felügyelet: i. befektetési banki szolgáltatások; ii. fő kereskedelmi vagy értékesítési és kereskedelmi tevékenységek; és iii. más személyek, akiket elfogultnak ítélhetnek vagy felügyelhetnek;"

Végső soron ezek a szabályok megkövetelik a szervezetektől, hogy szabályzatokat hozzanak létre, és a banki szolgáltatásokban, az értékesítésben vagy a kereskedelemben részt vevő szerepkörök között információs korlátokat alkalmazzanak az elemzőkkel folytatott információcseréből és kommunikációból.

Az információkorlátok lehetővé teszik etikus falak kialakítását a Office 365 környezetben, lehetővé téve a megfelelőségi rendszergazdák vagy más jogosult rendszergazdák számára, hogy olyan szabályzatokat határozzanak meg, amelyek engedélyezik vagy megakadályozzák a Teams felhasználói csoportjai közötti kommunikációt. Az információkorlátok adott műveleteken végeznek ellenőrzéseket a jogosulatlan kommunikáció megakadályozása érdekében. Az információkorlátok korlátozhatják a kommunikációt olyan helyzetekben is, amikor a belső csapatok fúziókon/felvásárlásokon vagy érzékeny ügyleteken dolgoznak, vagy bizalmas belső információkkal dolgoznak, amelyeket szigorúan korlátozni kell.

Az információkorlátok támogatják a Teamsben folytatott beszélgetéseket és fájlokat. A finra-szabályozásoknak való megfelelés érdekében megakadályozhatják a kommunikációval kapcsolatos következő típusú intézkedéseket:

  • Felhasználó keresése
  • Tag hozzáadása egy csapathoz, vagy a csoport egy másik tagjával való részvétel folytatása
  • Csevegés indítása vagy folytatása
  • Csoportos csevegés indítása vagy folytatása
  • Értekezletbe való bekapcsolódás meghívása
  • Képernyő megosztása
  • Hívás kezdeményezése

Felügyeleti ellenőrzés megvalósítása

A pénzügyi intézményeknek általában felügyeleti funkciót kell létrehozniuk és fenntartaniuk a szervezetükön belül a munkavállalók tevékenységeinek figyelemmel kísérése és az alkalmazandó értékpapír-jogszabályok betartásának elősegítése érdekében. A FINRA a következő felügyeleti követelményeket határozta meg:

  • A FINRA 3110. szabálya (felügyelet) előírja, hogy a cégeknek írásos felügyeleti eljárásokkal (WSP-kkel) kell rendelkezniük a munkavállalói tevékenységeinek és azoknak a vállalkozásoknak a felügyeletére, amelyekben részt vesznek. Az egyéb követelményeken kívül az eljárásoknak a következőket kell tartalmazniuk:

    • A felügyelő személyzet felügyelete
    • A vállalat befektetési bankjainak, értékpapír-üzletágának, belső kommunikációjának és belső vizsgálatainak áttekintése
    • Belső kereskedéssel kapcsolatos tranzakciók áttekintése
    • A levelezés és a panaszok felülvizsgálata

    Az eljárásoknak le kell írniuk a felülvizsgálatokért felelős személyeket, az egyes személyek által végzett felügyeleti tevékenységeket, a felülvizsgálat gyakoriságát, valamint a felülvizsgálat alatt álló dokumentációk vagy közlemények típusait.

  • A FINRA 3120. szabálya (felügyeleti ellenőrző rendszer) előírja, hogy a vállalkozások olyan felügyeleti ellenőrzési szabályzatokkal és eljárásokkal (SCP-kkel) rendelkezzenek, amely a 3110. A cégeknek nemcsak WSP-kkel kell rendelkezniük, hanem olyan szabályzatokkal is rendelkezniük kell, amelyek évente tesztelik ezeket az eljárásokat annak ellenőrzésére, hogy képesek-e biztosítani az alkalmazandó értékpapír-jogszabályoknak és rendeleteknek való megfelelést. A tesztelés hatókörének meghatározásához kockázatalapú módszertanok és mintavételezés alkalmazhatók. Más követelmények mellett ez a szabály előírja, hogy a vállalatok éves jelentést nyújtsanak be a felső vezetésnek, amely tartalmazza a vizsgálati eredmények összegzését, valamint a vizsgálati eredményekre adott válaszul a jelentős kivételeket vagy módosított eljárásokat.

Az irodai dolgozók egy diagramot és táblázatot tekintenek meg a képernyőn, míg mások a háttérben találkoznak.

Kommunikációmegfelelőség

Microsoft Purview Kommunikációmegfelelőség egy megfelelőségi megoldás, amely segít minimalizálni a kommunikációs kockázatokat azáltal, hogy segít észlelni, kivizsgálni és reagálni a nem megfelelő üzenetekre a szervezetben. Az előre definiált és egyéni szabályzatok lehetővé teszik a belső és külső kommunikáció szabályzattal való egyezéseinek vizsgálatát, hogy a kijelölt felülvizsgálók megvizsgálhassák őket. A véleményezők megvizsgálhatják a beolvasott e-maileket, a Microsoft Teamst, a Viva Engage vagy a külső felektől származó kommunikációt a szervezetben, és megfelelő lépéseket tehetnek annak érdekében, hogy megfeleljenek a szervezet üzenetszabványainak.

A kommunikáció megfelelősége olyan jelentéseket biztosít, amelyek lehetővé teszik a szabályzat-felülvizsgálati tevékenységek naplózását a szabályzat és a felülvizsgáló alapján. A jelentések segítségével ellenőrizheti, hogy a szabályzatok a szervezet írásos szabályzatai által meghatározottak szerint működnek-e. Emellett olyan kommunikációk azonosítására is használhatók, amelyek felülvizsgálatot igényelnek, és amelyek nem felelnek meg a vállalati szabályzatnak. Végül a szabályzatok konfigurálásával és a kommunikáció áttekintésével kapcsolatos összes tevékenységet naplózza a rendszer a Office 365 egyesített auditnaplóban. Ennek eredményeképpen a kommunikációmegfelelőség abban is segít a pénzügyi intézményeknek, hogy megfeleljenek a FINRA 3120.

A FINRA-szabályok betartása mellett a kommunikációmegfelelőség lehetővé teszi a szervezetek számára, hogy észleljék és reagáljanak azokra a kommunikációkra, amelyeket más jogi követelmények, vállalati szabályzatok és etikai normák érinthetnek. A kommunikációs megfelelőség beépített fenyegetés-, zaklatás- és trágár osztályozókat biztosít, amelyek segítenek csökkenteni a téves riasztásokat a kommunikáció áttekintésekor, ezzel időt takarítva meg a felülvizsgálóknak a vizsgálat és a szervizelési folyamat során. Emellett lehetővé teszi a szervezetek számára, hogy csökkentsék a kockázatokat azáltal, hogy észlelik a kommunikációt, amikor bizalmas szervezeti változásokon, például egyesüléseken, felvásárlásokon vagy vezetői változásokon mennek keresztül.

Az információmunkások egy képernyőre összpontosítanak.

Védelem az adatkiszivárgás és a belső kockázatok ellen

A nagyvállalatokat gyakran fenyegeti az adatok kiszivárgása, vagy az adatok szervezetből való kinyerése. Ez a kockázat jelentős aggodalomra adhat okot a pénzügyi intézmények számára a naponta elérhető információk bizalmas jellege miatt. A rendelkezésre álló kommunikációs csatornák számának növekedésével és az adatok áthelyezésére szolgáló eszközök elterjedésével általában speciális képességekre van szükség az adatszivárgások, szabályzatsértések és belső kockázatok kockázatának mérsékléséhez.

Belső kockázatkezelés

Az alkalmazottak bárhol elérhető online együttműködési eszközökkel való engedélyezése eredendően kockázatot jelent a szervezet számára. Az alkalmazottak véletlenül vagy rosszindulatúan adatokat szivárogtathatnak ki támadók vagy versenytársak számára. Azt is megteheti, hogy személyes használatra kiszűri az adatokat, vagy egy jövőbeli munkáltatóhoz viszi az adatokat. Ezek a forgatókönyvek biztonsági és megfelelőségi szempontból is súlyos kockázatokat jelentenek a pénzügyi szolgáltató intézmények számára. Ezeknek a kockázatoknak a bekövetkezésükkor történő azonosítása és gyors enyhítése intelligens eszközöket igényel az adatgyűjtéshez és az olyan részlegek közötti együttműködéshez, mint a jogi, az emberi erőforrások és az információbiztonság.

Microsoft Purview belső kockázatkezelés egy megfelelőségi megoldás, amely segít minimalizálni a belső kockázatokat azáltal, hogy lehetővé teszi a szervezet rosszindulatú és véletlen tevékenységeinek észlelését, kivizsgálását és elhárítását. Az Insider kockázati szabályzatokkal meghatározhatja a szervezetében azonosítani és észlelni kívánt kockázattípusokat, beleértve az esetek kezelését és az esetek eszkalálását a Microsoft elektronikus adatok feltárása (Prémium) felé, ha szükséges. A szervezet kockázatelemzői gyorsan elvégezhetik a megfelelő intézkedéseket annak érdekében, hogy a felhasználók megfeleljenek a szervezet megfelelőségi szabványainak.

A belső kockázatkezelés például korrelálhatja a felhasználói eszközökről érkező jeleket, például a fájlok USB-meghajtóra másolását vagy egy személyes e-mail-fiók e-mail-címének elküldését online szolgáltatások, például Office 365 e-mail, SharePoint Online, Microsoft Teams vagy OneDrive Vállalati verzió tevékenységeivel az adatkiszivárgási minták azonosításához. Emellett korrelálhatja ezeket a tevékenységeket a szervezetből kilépő alkalmazottakkal, ami egy gyakori adatkiszivárgási minta. Több potenciálisan kockázatos tevékenységet és viselkedést képes észlelni az idő múlásával. Amikor gyakori minták merülnek fel, riasztásokat hozhat létre, és segíthet a nyomozóknak a kulcsfontosságú tevékenységekre összpontosítani a szabályzat megsértésének magas szintű megbízhatósággal történő ellenőrzése érdekében. Az Insider-kockázatkezelés ál-anonimizálhatja a nyomozók adatait, hogy azok megfeleljenek az adatvédelmi előírásoknak, miközben továbbra is olyan kulcsfontosságú tevékenységeket tárnak fel, amelyek segítenek nekik a vizsgálatok hatékony végrehajtásában. Lehetővé teszi a nyomozók számára a fő tevékenységi adatok csomagolását és biztonságos elküldését a HR-nek és a jogi részlegeknek, követve a gyakori eszkalációs munkafolyamatokat a szervizelési műveletek eseteinek létrehozásához.

Az Insider-kockázatkezelés jelentősen növeli a szervezetek képességeit a belső kockázatok észlelésére és kivizsgálására, miközben lehetővé teszi a szervezetek számára, hogy továbbra is megfeleljenek az adatvédelmi előírásoknak, és követjék a meghatározott eszkalációs útvonalakat, ha az esetek magasabb szintű beavatkozást igényelnek.

Call center worker in a cubicle types in in a viewing a screen.

Bérlői korlátozások

A bizalmas adatokkal foglalkozó szervezetek, amelyek szigorú hangsúlyt fektetnek a biztonságra, általában szabályozni szeretnék a felhasználók által elérhető online erőforrásokat. Ugyanakkor biztonságos együttműködést szeretnének lehetővé tenni online szolgáltatások, például Office 365. Ennek eredményeképpen a felhasználók által elérhető Office 365 környezetek szabályozása kihívást jelent, mivel a nem jogi személyiséggel nem rendelkező Office 365 környezetek használatával rosszindulatúan vagy akaratlanul is kiszűrhetők az adatok a vállalati eszközökről. A szervezetek hagyományosan korlátozzák azokat a tartományokat vagy IP-címeket, amelyeket a felhasználók a vállalati eszközökről érhetnek el. Ez azonban nem működik a felhőközpontú világban, ahol a felhasználóknak jogszerűen kell hozzáférnie Office 365 szolgáltatásokhoz.

A Microsoft 365 biztosítja a bérlői korlátozásokat a kihívás kezelésére. Bérlőkorlátozások konfigurálhatók úgy, hogy az alkalmazottak hozzáférését a külső Office 365 vállalati bérlőkre korlátozzák a rosszindulatú identitások (a vállalati címtár részét nem képező identitások) használatával. Jelenleg a bérlői korlátozások a bérlőre vonatkoznak, így csak az Ön által konfigurált listában szereplő bérlők férhetnek hozzá. A Microsoft továbbra is fejleszti ezt a megoldást az irányítás részletességének növelése és az általa nyújtott védelem javítása érdekében.

GRAFIKUS.

Következtetés

A Microsoft 365 és a Teams integrált és átfogó megoldást kínál a pénzügyi szolgáltatók számára, amely egyszerű, mégis hatékony felhőalapú együttműködési és kommunikációs képességeket tesz lehetővé a vállalaton belül. A Microsoft 365 biztonsági és megfelelőségi technológiáinak használatával az intézmények biztonságosabban és megfelelőbben működhetnek robusztus biztonsági vezérlőkkel, hogy megvédjék az adatokat, az identitásokat, az eszközöket és az alkalmazásokat a különböző működési kockázatoktól, beleértve a kiberbiztonságot és a belső kockázatokat. A Microsoft 365 egy alapvetően biztonságos platformot biztosít, amelyen a pénzügyi szolgáltatásokat nyújtó szervezetek többet érhetnek el vállalatuk, alkalmazottaik és ügyfeleik védelme mellett.